The transfer of personal data abroad, regulated in Article 9 of the Law No. 6698, creates important problems in practice for some reasons arising from the Law and the Personal Data Protection Board. While some options listed in the Law for transferring personal data abroad are not applicable and also the effectiveness of some options is highly controversial. For this reason, in practice, there is no possibility of data transfer abroad, except for obtaining an explicit consent in accordance with the law. However, due to the fact that technology and digitalization play a dominant role, many companies continue to transfer data abroad in violation of the Law. Being aware of this problem that arises in practice, the Personal Data Protection Board (“Board”) has given legal validity to the compulsory explicit consents in some of its documents and decisions. However, there is no certainty as to under which circumstances the mandatory express consent is valid, and it is not possible for the Board to make an exception to the free will condition, which is considered as a mandatory element of the explicit consent in the Law, by an administrative act. In addition, it has been observed that the Board has decided that in some of the applications for undertakings or binding company rules, data cannot be transferred abroad until the application is concluded, and in some applications, data can be transferred abroad in various ways while the application is being examined. With the conflicting decisions it has taken, the Board has gradually increased the high level of unpredictability in data transfer abroad. The Board’s recent decision on a global hotel chain is a good example in terms of understanding the uncertainty created by the administration in data transfer abroad and the Board’s approach to compulsory explicit consent.
Personal Data Data Transfer Abroad Explicit Consent Compulsory Explicit Consent Personal Data Protection Board
6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 9. maddesinde düzenlenen yurt dışına kişi- sel veri aktarımı, Kanun’dan ve Kişisel Verileri Koruma Kurulu’ndan kaynaklanan bazı nedenler- le uygulamada önemli sorunlar doğurmaktadır. Yurt dışına kişisel veri aktarımı yapmak için Kanun’da sayılan bazı olanaklar uygulanamaz durumda, bazı seçeneklerin ise etkililiği oldukça tartışmalıdır. Bu nedenle uygulamada hukuka uygun bir açık rıza alınması dışında yurt dışına veri aktarım imkanı görülmemektedir. Ancak teknoloji ve dijitalleşmenin başat rol oynadığı nedenlerle birçok kuruluş Kanun’a aykırı şekilde yurt dışına veri aktarmaya devam etmektedir. Uygulamada ortaya çıkan bu sorunun farkında olan Kişisel Verileri Koruma Kurulu (“Kurul”), bazı yayın ve kararlarında zorunlu şekilde alınan açık rızalara hukuki geçerlilik tanımıştır. Ancak hangi hallerde zorunlu açık rızaya geçerlilik tanıdığına dair bir belirlilik bulunmadığı gibi Kurul’un Kanun’da açık rızanın zorunlu bir unsuru olarak sayılan özgür irade koşuluna idari bir işlem ile istisna getirebilmesi mümkün değildir. Ayrıca Kurul’un kendisine yapılan taahhütname veya bağlayıcı şirket kuralları başvurularının bazılarında başvuru sonuçlanmadan yurt dışına veri aktarılamayacağına, bazı başvurularda ise başvuru incelenirken çeşitli şekillerde yurt dışına veri aktarılabileceğine karar verdiği görülmüştür. Kurul, vermiş olduğu çelişkili kararlar ile yurt dışına veri aktarımı konusunda oldukça yüksek olan belirsizliği giderek artırmıştır. Kurul’un yakın zamanda küresel bir otel zinciri hakkında vermiş olduğu karar, yurtdışına veri aktarımında idarenin ortaya çıkardığı belirsizliği ve Kurul’un zorunlu açık rızaya yaklaşımını anlamak bakımından iyi bir örnektir.
Kişisel Veri Yurt Dışına Aktarım Açık Rıza Zorunlu Açık Rıza Kişisel Verileri Koruma Kurulu
Primary Language | Turkish |
---|---|
Subjects | Law in Context |
Journal Section | V. 8 I. 1 Research Articles |
Authors | |
Publication Date | March 20, 2023 |
Published in Issue | Year 2023 Volume: 8 Issue: 1 |